2025年3月4日 星期二

Linux Kernel fs.protected_regular

這是 4.19 版才加入的安全性保護功能

protected_regular: This protection is similar to protected_fifos,
but it avoids writes to an attacker-controlled regular file,
where a program expected to create one.
When set to "0", writing to regular files is unrestricted.
When set to "1" don't allow O_CREAT open on regular files that we don't own in world writable sticky directories,
unless they are owned by the owner of the directory.
When set to "2" it also applies to group writable sticky directories.

RedHat 9 系的 Linux protected_regular 預設是 1
常見的目錄是 /tmp 及 /dev/shm
當目錄下面檔案 file owner 是 A,檔案權限是 -rw-rw-rw- (666) 當 B 去存取 file
有用到 O_CREAT 時,是不允許的,
但使用不同編輯器,編輯檔案後存檔,卻有不同樣的結果,
vim 編輯後可以寫入,nano 及 joe 都不能寫入,猜測跟檔案處理方式有關,vim 可能沒有調用 O_CREAT,所以可以寫入

Shell 的處理方式,例如以下動作也是可以,也就是沒有調用 O_CREAT
echo hello > file
echo world >> file

RedHat 要改這個預設值,是改這個檔
/usr/lib/sysctl.d/50-default.conf

標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)

SSH Jump host connection

SSH 跳板機連線 情境: 1跳,透過 Host A 連 Host B ssh -J user@hostA user@hostB 情境: 2跳,透過 Host A 連 Host B,再連到 Host C ssh -J user@hostA,user@hostB user@host...

  • Disable LINE desktop force update
    禁止 LINE 電腦版自動或強制更新的方法 LINE 電腦版啟動都會去連這個更新資訊檔 https://desktop.line-scdn.net/win/v1/real/update_info.json 內容大概長這樣 可以看出針對各版本的更新 type 有 force, ...
  • RHEL 9 install xrdp
    xrdp 是 Linux 版的 RDP server (遠端桌面) 它運作時需要 Xvnc 的 libvnc.so, 所以安裝時需要連同 VNC 一起安裝(只需 minimal) dnf -y install xrdp tigervnc-server-minimal system...
  • HiNet IDC mirror closed
    http://mirror01.idc.hinet.net HiNet 這個網址關了,要高速下載 Linux ISO 少了一個地方,感謝 HiNet 默默服務了多年 測了幾個 TW mirror 站,推 TWDC 台灣數位串流,常見的 Linux 都有,速度超快 https://...
  • Setup PPPoE with nmcli
    以前都是用 rp-pppoe 套件裡的 adsl-setup 來設定 PPPoE 現在比較新的 Linux 已經沒有這個套件了,要用 NetworkManager 的 nmcli 來設定 設定也很簡單,準備帳號、密碼及網路卡就行了 以下範例帳號是 xxxx@hinet.net 密...
  • 解決 Windows 工作排程器 錯誤訊息: 已回報下列錯誤: 工作定義使用了過時的功能
    Windows不曉得何時拿掉了工作排程顯示訊息的功能,但還是能設定,後面括號(已過時) 最後會出現如下的畫面。 奇怪,不能設定為何不拿掉設定選項? 替代方式是用執行程式 msg 新增引數輸入 * 要顯示的訊息
  • Kodi for Android 4.x
    比較舊版的電視盒,無法裝新版的 Kodi , Android 4.x 版只能裝到 16.1 這個版本 kodi-16.1-Jarvis-armeabi-v7a.apk
  • RouterOS 中文 SSID
    RouterOS 的管理工具 winbox,因為還不支援 UTF-8, 雖然可以在 Wireless 設定中文的 SSID,但是實際上會看到亂碼, WiFi 的 SSID 是走 UTF-8 編碼,需要把 UTF-8 中文轉成 HEX 碼,再用指令設定 寫了一個小工具提供大家使用...
  • Windows 10 NFS Client
    Windows 的 NFS Client 從 Windows 7 之後就內建了,但預設沒有開啟, 要到 設定 / 應用程式 / 程式與功能 / 開啟或關閉 Windows 功能 開啟 Client for NFS 但是預設的情況下,遇到中文檔名會有亂碼, 到 設定 / 時間與語言...
  • LINE Notify Replacement
    前一陣子 LINE 發出 LINE Notify 結束服務公告(結束時間2025-03-31),這對有在用這個服務的人影響頗大, LINE Notify 好用在於免費,而且可以無限量發送 幾乎所有的 IM 軟體都有串 Bot Message 的功能,找替代方案不是問題 Teleg...
  • Access-Control-Allow-Origin
    跨來源資源共用(CORS) Mozilla 這邊文章寫得很詳細 簡單講當 User 去連 A 站,裡面的 AJAX 動作去 call B 站的資料,B 站就必需在 HTTP header 裡加入 Access-Control-Allow-Origin: * 使用完整 Source...